采用 SASE 的理由
获得公司高层支持的实用建议
如何说服高层投资一种全新、复杂的安全策略?
这个问题的答案可不简单。尽管安全已成为大多组织高层的优先事项,但对于支持需要大量资源和组织变革的安全项目,高管往往犹豫不决。
很多安全主管在规划 SASE 采用时都会遇到这种尴尬处境。
无论是否使用 SASE(安全访问服务边缘)这个术语,很多安全主管已经在组织内部倡议 SASE 所主张的实践。然而,这些实践——例如采用 Zero Trust 安全、保护员工的互联网浏览或将防火墙和 WAN 迁移到云端——需要来自整个组织的协作和财务支持。必须寻找并评估新的供应商,重新利用或替换现有供应商。整个组织的员工都可能需要学习新的安全流程。
这些要求可能招致非安全部门主管的质疑。有些人可能认为现有安全措施已经提供了足够的保护,因而不愿支持任何需要大量资源的变化。其他人可能会低估 SASE 紧迫性,要求将项目进一步推迟。
高效的安全主管知道,他们必须克服一定程度的阻力,才能推动 SASE 采用并更好地保护其组织。在与其他高管讨论 SASE 时,如能采用如下实践,安全主管将会取得成功:
除了 SASE 如何降低风险外,还要说明 SASE 更广泛的业务效益。
提供有关 Zero Trust 安全和网络转型的财务效益数据,证明 SASE 的投资回报率。
提供具体的后续步骤,包括一个行动计划,说明首先要做什么改变以及如何进行。
以下就是这些做法在实际执行中的情况。
说明 SASE 更广泛的业务效益
任何有关 SASE 的讨论当然必须包括它能帮助预防的安全威胁。安全主管应帮助其他高管了解,企业网络流量迁移到互联网时会出现什么安全风险,并说明 SASE 能如何帮助保护组织免受这些风险影响。
但对话不应到此为止。原因何在?即使高管相信 SASE 能解决的问题,他们也未必相信 SASE 本身就是解决方案。当面对 SASE 采用将面临的众多后勤障碍时,高管们可能希望依赖于更简单、直接但可能不那么有效的解决方案,例如扩大 VPN 使用,或在云端采用单点安全解决方案。
为了使他们论据更强有力,安全主管还必须说明 SASE 采用能如何驱动更广泛的业务目标。考虑如下论据:
远程办公效率:很多高管都很想知道远程办公如何影响企业的整体效率。安全领导者应该协助他们了解,传统的远程办公安全工具在广泛、持续的使用过程中如何变得不可靠,以及 SASE 可以提供哪些提供帮助。例如,说明弃用 VPN 如何减少延迟和连接中断。或者,如何在单一云平台上统一网络安全服务,消除不同单点安全解决方案之间的流量“长号效应”(往返流动)造成的延迟。
更流畅的承包商接入:企业常常会聘用第三方承包商或服务提供者来完成紧急、高优先级的项目。然而,正如安全领导者所知,从 IT 角度来看,接入这些承包商可能非常麻烦。(对于新收购的公司来说,也是如此。)协助高管了解,SASE 如何通过让承包商使用其自有设备,并为 IT 团队和安全团队提供单一平台来管理和监控网络访问,从而更轻松、快速地接入急需的第三方支持。
IT 团队效率:多达 62% 的 IT 团队表示人手不足,这可能会妨碍企业处理各种战略项目。安全领导者可以协助高管了解,实施 SASE 解决方案后,将如何腾出 IT 团队的时间。例如,采用 SASE,IT 将不再需要:配置 VPN 许可证,对网络安全硬件打补丁和排除故障,或在远程安全工具破坏网站体验时,回复支持工单。
进行以上对话时,安全主管应力求简洁,遵守“无供应商名称、没有缩写”的规则。很容易忽略在有关安全策略的讨论中混进了多少行话。每一个不必要的流行词和供应商名称都如同减速带,分散听众对论据实质的注意力。(“SASE”可能是这一规则的例外,但您依然应该给出这个术语的定义并谨慎使用。)
证明 SASE 采用的财务效益
与高管讨论 SASE 时,不可避免会涉及到 SASE 采用的财务成本。鉴于 SASE 需要新的供应商合作关系,并可能需要新的 IT 技能集,这些成本在短期内可能显得相当高昂。
为了降低高管对这些成本的焦虑,安全主管应准备好证明,SASE 也能为组织节省成本。
其中一些节省可能以攻击预防和缓解的形式实现。例如,SASE 实践可减少攻击给目标造成的损失。根据《IBM 的数据泄露成本报告》,采用成熟 Zero Trust 策略的组织从数据泄露恢复的成本更低。采用成熟 SASE 策略的组织每次泄露的平均成本为 328 万美元,而没有实施 Zero Trust 策略的组织为 504 万美元。
此外,安全主管可以计算出简化复杂 IT 流程节约的具体成本,支持上一节中所概述的广泛业务效益。考虑如下投资回报率例子:
减少 IT 支持工单:SASE 消除了对 VPN 等一次性远程访问工具的需求,此类工具往往不可靠且存在严重的延迟。当用户无需处理设备上的 VPN 客户端时,企业开始发现,其花在处理访问相关工单方面的时间大幅减少,有些企业表示,其在用户问题方面花费的时间减少了高达 80%。
缩短员工入职时间。这方面的一个示例是替换传统的远程访问方法,例如 VPN 和基于 IP 的控制。像 eTeacher Group 这样的企业表示,他们在新员工入职方面花费的时间有所减少,将授予新用户访问权限所需的时间减少 60%。
消除额外的硬件成本。安全硬件,例如网络防火墙和 DDOS 缓解设备,总是会产生超出其标价的成本。安装、保修、维修以及补丁管理都会产生额外的支出,并且需要 IT 资源进行管理。将网络安全迁移到云端来消除这些成本,可以实现额外的节省。
最后,SASE 可减少网络硬件方面沉重的资本支出,从而在长期内创造更有利的财务状况。由于 SASE 服务完全从云端交付,它们仅使用标准的云订阅模型。这一模型将释放现金流,可用于资助其他高优先级投资。
提供具体的后续步骤
帮助高管了解 SASE 的业务效益和财务影响,将非常有助于说服他们。但他们也要了解实际采用 SASE 看起来是什么样子的。
安全主管需要准备好详细回答这个问题。这意味着,准备一个假想的 SASE 采用计划,其中包括具体的步骤和时间表,资源要求和估计成本。这些细节对不同组织而言可能相差巨大。但可以考虑将如下“初始步骤”作为起点:
逐步淘汰第三方访问的 VPN:将顾问和合同员工迁移到一个现代身份验证服务上,让他们使用现有帐户或一次性密码登录到应用。这样做不但能简化接入流程,还能使第三方无法滥用 VPN 提供的完全网络访问权限。
采用 Zero Trust 模型,保护远程办公安全:使用一种遵循“从不信任,始终验证”原则的身份验证和访问管理服务,即:在远程办公员工每次访问时,核实其身份并跟踪其所有请求。这让企业可以更好地控制高风险员工群体。
淘汰用于远程访问的 VPN:如第一步所述,让远程办公员工转为采用现代化的身份验证服务,例如 SSO。这让攻击者更难以利用受入侵设备或泄露的 VPN 凭据来横向移动。
在续订合同时,整合 Zero Trust 安全工具:几乎不可能一次性取代全部的现有安全 Web 网关、浏览器隔离工具以及云访问安全代理。合同到期后,将这些服务添加到单一 SASE 平台并从单一位置加以管理,以提高效率。
对办公场所采取 Zero Trust 安全态势:即使在传统的网络边界内,也要求员工通过 Zero Trust 平台进行身份验证。这有助于阻止数据丢失,保护员工免受来自公共互联网的威胁,并防止攻击者的横向移动。
宣传长期安全优先事项
安全,不仅仅是安全团队的职责。高管在安全项目上投入越多,整个企业的安全性也随之提高。
SASE 以及使其变得必要的广泛社会变革,是安全主管促进这一投资的绝佳机会。将 SASE 与更广泛的业务效益联系起来,证明它的投资回报率,并制定一个具体的行动计划并非易事——也不会在几次孤立的对话后就得以落地。然而,如果安全主管在实施这些最佳实践时坚持不懈且充满自信,他们就会培养起广泛的安全意识,这也会在未来有利于他们及其团队。
此外,欢迎探索我们的 Cloudflare One 平台,了解 Cloudflare 如何交付 SASE 和 Zero Trust。此平台将基于身份的安全控制、防火墙、WAN 即服务以及其他 SASE 功能集于一个靠近全球各地用户的统一网络,从而帮助用户快速、安全地连接到任何企业资源。而且,所有这些功能均从零开始构建并且开箱即用,有助于安全团队简化 SASE 采用。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
阅读本文后,您将能够了解:
为什么向高层推荐 SASE 要求一种特别的方式
向非技术人员描述 SASE 的优势需要采取的策略
SASE 采用的理想初始步骤